# セルフサービス登録 {% hint style="info" %} SCEPman バージョン 2.9 以降に適用されます {% endhint %} クライアントが SCEP を使わずに自分自身の証明書を登録する場合、SCEPman REST API を使用できます。ただし、任意の証明書を登録できるべきではなく、自分の ID に紐づく証明書のみを登録できる必要があります。そのため、SCEPman API には、この機能を有効にするためにユーザー/グループに割り当てられるロールがあります。 ## 前提条件 * このロールは SCEPman 2.9 以降に含まれています。これ以前に SCEPman をインストールした場合は、 [インストール スクリプト](https://docs.scepman.com/ja/scepman-zhan-kai/permissions/post-installation-config#running-the-scepman-installation-cmdlet) を再度実行して、このロールを表示させる必要があります。 ## セルフサービス権限の割り当て SCEPman-api のアプリ登録に Self Service ロールが存在することを確認できます:
SCEPman-api のエンタープライズ アプリケーションで、ユーザーおよびグループに対するロール割り当てを作成できます。
## 証明書登録リクエスト セルフサービス ロールを持つユーザーは、次の属性を持つ証明書のみを登録できます。(これらは、たとえば [Intune ](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/microsoft-intune)の SCEP プロファイル経由で証明書を登録する際に選択する属性と同じです)。証明書の有効性は、Intune または Entra Id のデバイス オブジェクト、あるいは Entra Id のユーザー オブジェクトに紐づけられ、Intune で登録された証明書と同様になります。 {% hint style="info" %} 弊社の [ユースケース セクション](https://docs.scepman.com/ja/use-cases)から提供される登録スクリプトを使用している場合、これらの要件に従ったリクエストが自動的に生成されます。 {% endhint %} ### デバイス証明書 Subject Alternative Name (SAN) には、必ず `IntuneDeviceID://` を URI として含める必要があります。ここで `` は波括弧なしの Intune 上のデバイス ID です。あるいは、Subject の CN フィールドは Entra ID のデバイス ID または Intune Device Id である必要があります。
項目
サブジェクトCN=<AAD_Device_Id> または CN=<DeviceId>。この場合のデバイスはユーザーが所有するものです。
SAN (URI)IntuneDeviceId://<IntuneDeviceId>
基本制約Subject Type=End Entity
EKUクライアント認証、1.3.6.1.5.5.7.3.2
### ユーザー証明書
項目
サブジェクトCN=<DisplayName>
SAN (Other Name/UPN)<UserPrincipalName>
基本制約Subject Type=End Entity
EKUクライアント認証、1.3.6.1.5.5.7.3.2